本站SSH黑名单列表发布

相信不少Linux或Unix管理员都会发现自己系统每时每刻都在被大量的主机试探密码,并试图控制该主机。目前大部分用户都是通过防火墙封锁TCP/22端口,有部分管理员习惯把SSH监听端口改成2222等一些非默认端口,也可以在一定程度上防止密码试探。同样在互联网上也有一些稍微智能一些的方法,如:巧用Recent模块加固Linux安全通过iptables的recent模块保护某些私有服务,但是对于一些非Linux主机或不支持recent模块的主机,这个方法就无效了。

经过努力,东北大学网络应急响应组通过部署相应的SSH攻击采集程序,收集了部分发起SSH攻击的主机IP地址,连接地址为:http://antivirus.neu.edu.cn/ssh/lists/neu.txt,列表每5分钟更新一次,同时本站还同步sshbl.org的黑名单数据,详见:http://antivirus.neu.edu.cn/ssh/lists/目录下的base.txt等。我们将本站收集的IP地址列表与sshbl.org提供的列表进行合并,生成新的hosts.deny列表,链接地址:http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny,Linux或Unix管理员可以通过更新hosts.deny文件来防止主机被攻击。

同时我们还提供一个自动更新脚本:

[code language=”shell”]#!/bin/sh
# Fetch NEU SSH Black list to /etc/hosts.deny
#

export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin

URL=http://antivirus.neu.edu.cn/ssh/lists/neu_sshbl_hosts.deny.gz
HOSTSDENY=/etc/hosts.deny
TMP_DIR=/dev/shm
FILE=hosts.deny

cd $TMP_DIR

curl $URL 2> /dev/null | gzip -dc > $FILE

LINES=`grep "^sshd:" $FILE | wc -l`

if [ $LINES -gt 10 ]
then
sed -i ‘/^####SSH BlackList START####/,/^####SSH BlackList END####/d’ $HOSTSDENY
echo "####SSH BlackList START####" >> $HOSTSDENY
cat $FILE >> $HOSTSDENY
echo "####SSH BlackList END####" >> $HOSTSDENY
fi[/code]

脚本定期运行即可。

文章分类 安全公告, 安全工具 标签: , , , ,
17 comments on “本站SSH黑名单列表发布
  1. E.D.I说道:

    除了修改端口之外,SSH增加密钥登录是安全系数比较高的做法,与其限制他们破解,不如让他们连破解的机会都没有

    [回复]

  2. Fire ant说道:

    话说有没有想过~~如果一下子大批量的进行扫描~~然后这就拒绝了这些IP的访问~~然后因为数量太多导致某些地区大量用户没法打开这网站~~

    [回复]

    烟灰 回复:

    您多虑了吧。。。这是SSH,正常情况下,普通用户怎么会去登录SSH?而且就算加入了SSH,也不会影响登录啊

    [回复]

    王宇 回复:

    见仁见智吧。

    [回复]

  3. 谢谢说道:

    毕业生也可以用吧
    刚学习用linux 服务器~

    [回复]

  4. 李刚说道:

    非常感谢老师们无偿的付出!

    [回复]

  5. GoodBoy说道:

    提供一下我的

    blocked 138 0
    222.186.62.42
    blocked 82 0
    222.186.62.64
    blocked 73 0
    61.160.212.193
    blocked 73 0
    222.186.62.39
    blocked 72 0
    218.2.22.116
    blocked 68 0
    220.168.205.204
    blocked 66 0
    61.160.213.186
    blocked 65 0
    60.28.162.165
    blocked 62 0
    61.174.51.206
    blocked 52 0
    222.186.62.11
    blocked 46 0
    218.92.16.146
    blocked 42 0
    61.174.51.216
    blocked 39 0
    60.169.73.18
    blocked 35 0
    61.160.215.40
    blocked 31 0
    218.2.22.115
    blocked 28 0
    117.41.182.93
    blocked 27 0
    113.108.211.131
    blocked 26 0
    124.160.194.27
    blocked 23 0
    61.160.215.33
    blocked 23 0
    218.2.22.108

    [回复]

  6. gzbz说道:

    这个方法使攻击者不能无休止地测试密码,建议不觉是把修改端口和这个方法结合起来更安全。

    [回复]

    温占考 回复:

    修改端口后一般被自动扫描的可能性很小

    [回复]

    薛申堂 回复:

    执行完脚本就自动生效了吗?
    我是第一次用linux,还烦请说的详细点

    [回复]

    温占考 回复:

    执行完应该就好了,你可以more /etc/hosts.deny看看,如果有很多IP地址,表示应该好使了。

    薛申堂 回复:

    必须要先安装DenyHosts才可以吗?

    [回复]

    温占考 回复:

    不需要,DenyHosts是从DenyHosts官方下载黑名单,似乎DenyHosts也带攻击检测功能,发现攻击会自动加入黑名单。

  7. csadshb说道:

    这个对于开启了ssh的服务器是很有价值的

    [回复]

  8. melocon说道:

    請問您們的黑名單列表是從哪裡抓的?
    我有一個IP被列進去了,該如何消除?
    謝謝!

    [回复]

    温占考 回复:

    我们蜜罐获取的 + sshbl.org + Dragon Research Group (DRG)。一共三个部分组成。
    如果是我们蜜罐抓取的,留下相关信息后可以移除,如果日后仍然有攻击行为,依然会重新上榜。

    [回复]

  9. 张铭说道:

    熟悉的wordpress架构~

    [回复]

发表评论

电子邮件地址不会被公开。